none
Windows 2008 server - Protezione diversificata nelle cartelle condivise sul DC per gruppi e utenze singole RRS feed

  • Domanda

  • Salve a tutti, su un DC con win2008 server ho questo tipo di problema : abbiamo creato un gruppo "interni" di cui fanno parte diversi utenti (standard user senza credenziali amministrative) e una cartella omonima ("INTERNI") condivisa contenente delle cartelle personali (nome.cognome) di ogni utente facenti parte del gruppo interni. Premetto che la situazione è di installazione gia funzionante da ormai un anno finche non ho dovuto inserire un nuovo utente (che chiamero' PROVA) che doveva avere pero' delle restrizioni piu elevate rispetto agli altri utenti del gruppo interni, nello specifico questo nuovo utente PROVA può si accedere alla cartella interni, ma po al suo interno dove solo "vedere e accedere" ad un paio di cartelle di altri utenti con controlli completi sui contenuti delle stesse. Sono riuscito a ottenere la visualizzazione delle sole cartelle interessate operando sulle autorizzazioni speciali dell'utente "PROVA" (precedentemente inserito) della cartella condivisa "INTERNI" spuntando la sola voce "visualizza contenuti cartella , lettura" (nascondendo cosi' alla vista di "PROVA" tutte le altre cartelle degli altri utenti); poi gli ho dato credenziali di accesso completo nelle 2 cartelle sui cui "PROVA" deve poter accedere aggiungendo anche qui il suo nominativo nell'elenco "utenti e gruppi" della scheda protezione". Il risultato e' che adesso "PROVA" vede le sole 2 cartelle di sua competenza ( come deve essere ) all'interno della direttrice "INTERNI" ma non puo ne creare, ne modificare , ne cancellare files o cartelle all'interno di queste 2. Potreste dirmi dove sbaglio? Devo rendere l'utente anche propietario delle cartelle stesse o eredito delle restrizioni dall’oggetto padre (INTERNI) che non riesco a rimuovere? Grazie e scusate se sono stato prolisso. Fabio Celli.
    • Spostato Fabrizio Volpe martedì 25 gennaio 2011 15:55 Spostata nel forum di competenza (Da:Active Directory e Group Policy)
    martedì 25 gennaio 2011 15:19

Risposte

  • In genere si da il permesso "transverse" sulla cartella base e si aggiungono i permessi adeguati nelle sottocartelle.

    Dovresti poter aggiungere permessi anche se mantieni l'ereditarietà così com'è (se non ci sono deny espliciti per l'utente o per i suoi gruppi).

    In alternativa, togli la flag Allow inheritable permissions from parent to propagate to this object e dai i permessi che ritieni più adeguati (lasciando sempre system e domain admins in full controll).

    http://support.microsoft.com/kb/313398/en-us


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe martedì 25 gennaio 2011 16:00
    • Contrassegnato come risposta Anca Popa martedì 1 febbraio 2011 09:15
    martedì 25 gennaio 2011 16:00
  • @Fabrizio: "transverse"? è un nuovo tipo di passeggiatore/rice notturno/a ? LLLOL! :-)

    Fabio, la cosa più probabile è che tu abbia impostato un deny su un gruppo di cui fa partel'utente.

    Fabrizio ti ha già indicato la strada più corretta. Sappici dire.

    P.S. NON cambiare la ownership delle cartelle: non è la strada corretta.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Proposto come risposta Diego Castelli venerdì 28 gennaio 2011 09:30
    • Contrassegnato come risposta Anca Popa martedì 1 febbraio 2011 09:15
    mercoledì 26 gennaio 2011 11:27

Tutte le risposte

  • In genere si da il permesso "transverse" sulla cartella base e si aggiungono i permessi adeguati nelle sottocartelle.

    Dovresti poter aggiungere permessi anche se mantieni l'ereditarietà così com'è (se non ci sono deny espliciti per l'utente o per i suoi gruppi).

    In alternativa, togli la flag Allow inheritable permissions from parent to propagate to this object e dai i permessi che ritieni più adeguati (lasciando sempre system e domain admins in full controll).

    http://support.microsoft.com/kb/313398/en-us


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe martedì 25 gennaio 2011 16:00
    • Contrassegnato come risposta Anca Popa martedì 1 febbraio 2011 09:15
    martedì 25 gennaio 2011 16:00
  • @Fabrizio: "transverse"? è un nuovo tipo di passeggiatore/rice notturno/a ? LLLOL! :-)

    Fabio, la cosa più probabile è che tu abbia impostato un deny su un gruppo di cui fa partel'utente.

    Fabrizio ti ha già indicato la strada più corretta. Sappici dire.

    P.S. NON cambiare la ownership delle cartelle: non è la strada corretta.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Proposto come risposta Diego Castelli venerdì 28 gennaio 2011 09:30
    • Contrassegnato come risposta Anca Popa martedì 1 febbraio 2011 09:15
    mercoledì 26 gennaio 2011 11:27
  • @Fabrizio: "transverse"? è un nuovo tipo di passeggiatore/rice notturno/a ? LLLOL! :-)

    E' l'unico tipo di permission che prevede un tariffario :-)

    Il permesso, per precisione, è "traverse folder"

    http://www.ntfs.com/ntfs-permissions-file-advanced.htm


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 26 gennaio 2011 12:29
  • Ciao, grazie per le celeri risposte, probabilmente c'era un deny sulla direttrice radice (INTERNI), controllo e mi leggo qualche info su "traverse folder" su http://www.ntfs.com/ntfs-permissions-file-advanced.htm. Intanto grazie.
    Fabio Celli
    giovedì 27 gennaio 2011 08:51
  • OK, sono contento che intanto la tua situazione si sia sbloccata.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    venerdì 28 gennaio 2011 09:30